برنامه جایزه شکار باگ پادویش

تیم امنیت ضدویروس پادویش، تصمیم گرفته است که برنامه جایزه شکار باگ پادویش را به صورت عمومی اعلام کند. حداکثر جایزه باگ در نظر گرفته شده ۵۰ میلیون تومان می‌باشد.
این برنامه که تا پیش از این به صورت خاص با برخی محققان امنیت اجرا شده بود، اکنون در راستای هدف همیشگی پادویش در ارتقای امنیت رایانه‌های کاربران، و به منظور استفاده از حداکثر توان کارشناسان امنیت موجود کشور، جزئیات آن به صورت عمومی اعلام می‌شود.

این برنامه در دو بخش محصولات پادویش و سامانه‌ها اعلام می‌شود که می‌توانید جزئیات هر کدام را در بخش‌های زیر مطالعه نمایید.

محصولات مشمول طرح

  • آخرین نسخه ضدباج‌گیر پادویش
  • آخرین نسخه ضدویروس پادویش (نسخه امنیت کامل یا Corporate)
  • در این زمینه، ملاک آخرین نسخه قابل دریافت از سایت در زمان ارسال گزارش است.
  • در صورت گزارش باگ روی نسخه‌های بتا (آزمایشی) باید آخرین نسخه بتا مورد تست قرار بگیرد.
  • سیستم عامل ویندوز ۱۰ یا بالاتر (با آخرین آپدیت‌ها) که دستکاری نشده باشد.

جزئیات برنامه (محصولات)

نوع آسیب‌پذیری مبلغ جایزه
اجرای کد از راه دور (RCE) در پردازه اصلی (دسترسی SYSTEM) ۶ تا ۵۰ میلیون تومان
اجرای کد از راه دور (RCE) در پردازه رابط کاربری (دسترسی پایین) ۳ تا ۲۵ میلیون تومان
افزایش سطح دسترسی محلی (LPE) ۳ تا ۲۵ میلیون تومان
از کار انداختن محصول با کاربر غیر ادمین ۱ تا ۵ میلیون تومان
 
  • تعیین مبلغ با توجه به امتیازی که آسیب‌پذیری در استاندارد CVSSv3 کسب می‌کند تعیین می‌شود.
  • به گزارش‌های با جزئیات کامل و دقیق فنی و شامل سورس کد PoC شفاف مبلغ بالاتری تعلق می‌گیرد.
  • گزارش‌های مربوط به تشخیص بدافزار جدید یا مواردی که از طریق امضا یا آنپکر جدید و مانند آن قابل رفع هستند شامل این برنامه نمی‌شوند.
  • برای آشنایی با مفاهیم RCE, LPE و سایر اصطلاحات علمی مورد استفاده و تعاریف آنها از دیدگاه برنامه شکار باگ پادویش توصیه می‌کنیم مطلب زیر را مطالعه نمایید: https://kb.amnpardaz.com/2018/507

سامانه‌های مشمول طرح

  • تمامی سامانه‌های عمومی پادویش و شرکت نرم‌افزاری امن‌پرداز شامل این برنامه خواهند بود.
  • سامانه‌های پشتیبان محصولات: سرور به‌روزرسانی، لایسنس، شبکه ابری و ...
  • سامانه‌های اطلاع‌رسانی: سایت امن‌پرداز، پادویش، پایگاه دانش، ...
  • سایر سامانه‌های مرتبط با شرکت نرم‌افزاری امن‌پرداز

جزئیات برنامه (سامانه‌ها)

نوع آسیب‌پذیری مبلغ جایزه

اجرای کد از راه دور (RCE) روی سرور با دسترسی کامل

 ۶ تا ۳۰ میلیون تومان

اجرای کد از راه دور (RCE) روی سرور با دسترسی محدود

۶ تا ۲۰ میلیون تومان

دور زدن مکانیزم احراز اصالت (موارد حیاتی)، احراز هویت و لاگین

۳ تا ۲۰ میلیون تومان

نشت ناخواسته اطلاعات حساس

۳ تا ۲۰ میلیون تومان

اعلام باگ‌های آماده عمومی شده روی CMS/OS سامانه (با نمایش و اثبات عملکرد روی سامانه)

۱ تا ۵ میلیون تومان
 
  • تعیین مبلغ با توجه به امتیازی که آسیب‌پذیری در استاندارد CVSSv3 کسب می‌کند تعیین می‌شود.
  • به گزارش‌های با جزئیات کامل و دقیق فنی و شامل سورس کد PoC شفاف مبلغ بالاتری تعلق می‌گیرد.
  • گزارش‌های مربوط به حملات منع سرویس (DOS و DDOS) یا مواردی که از طریق افزایش پهنای باند یا سرویس‌دهنده جدید و مانند آن قابل رفع هستند شامل این برنامه نمی‌شوند.

مراحل اجرایی

۱- گزارش باگ به bug@amnpardaz.com توسط شرکت‌کننده مطابق فرمت گزارش قید شده در این برنامه

۲- باگ توسط تیم امنیت پادویش بررسی و در صورت نیاز به اطلاعات بیشتر درخواست می‌شود.

۳- تایید باگ توسط تیم امنیت پادویش و اطلاع به شرکت‌کننده ظرف سه روز کاری

۴- رفع باگ و انتشار وصله - تا زمانیکه وصله مربوطه در تمامی محصولات مرتبط منتشر و در دسترس کاربران قرار گیرد نباید آسیب‌پذیری به هیچ طریقی افشا شود. با توجه به اینکه همه کاربران بلافاصله ضدویروس خود را آپدیت نمی‌کنند باید زمانی برای انتشار کامل وصله در نظر گرفته شود تا کاربران آسیبی نبینند. ضمن اینکه خود رفع برخی موارد ممکن است زمانبر بوده یا ملاحظاتی داشته باشد که توسط تیم امنیت پادویش تصمیم‌گیری شده و به اطلاع شرکت‌کننده می‌رسد.

۵- پس از انتشار وصله و گذشت مدت معقولی از آن، با دریافت مجوز کتبی از تیم امنیت پادویش امکان انتشار جزئیات فنی وجود دارد. کد اکسپلویت اجازه انتشار نخواهد داشت.

۶- در صورت تمایل شرکت‌کننده، نام وی به عنوان گزارش‌دهنده آسیب‌پذیری از طرف تیم پادویش اعلام می‌شود.

فرمت ارسال گزارش

جهت ارتباط صحیح لازم است در گزارش‌های ارسالی موارد زیر قید شده باشد:

  • نام گزارش‌دهنده
  • نوع باگ با توجه به جدول جزئیات برنامه شکار باگ
  • نام محصول و شماره نسخه تست شده، به همراه سیستم عامل
  • برنامه PoC ویا گام‌های دقیق بازتولید و مشاهده باگ
  • آیا تمایل به اعلام نام‌تان به عنوان گزارش‌دهنده باگ دارید یا خیر (در صورت تمایل می‌توانید نام مستعار استفاده نمایید)

الزامات شرکت در برنامه

  • جهت شرکت در برنامه گزارش‌ها (مطابق فرمت یاد شده) باید منحصرا به bug@amnpardaz.com ارسال شوند.
  • گزارش ارسالی باید شامل یک کد PoC یا حداقل مراحل دقیق اجرای آسیب‌پذیری باشد، به نحوی که این مراحل به سادگی روی محصولی که نصب شده است قابل اجرا و تست باشد.
  • باگ به صورت مسئولانه (Responsible Disclosure) گزارش شده باشد. در صورتیکه اطلاعاتی درباره باگ، با یا بدون جزئیات به شخص یا اشخاص ثالثی ارائه شده باشد شامل این برنامه نخواهد بود. همچنین در هنگام پرداخت طرفین باید تعهدنامه‌ای برای منع افشای اطلاعات مربوط به باگ امضا نمایند.
  • اعضای تیم پادویش و کارمندان شرکت امن‌پرداز، و فامیل درجه یک آنها از این برنامه مستثنی هستند.
  • قبل از ارسال لطفا راهنمای برنامه جایزه شکار باگ را مطالعه نمایید: https://kb.amnpardaz.com/2018/507

موارد خارج از برنامه جایزه شکار باگ

تیم امنیت پادویش آماده دریافت هرگونه گزارش درباره امنیت سایر سامانه‌ها و محصولات شرکت نرم‌افزاری امن‌پرداز نیز می‌باشد. متخصصین و علاقمندان می‌توانند گزارش‌های مرتبط خود را (خارج از برنامه شکار باگ) از طرق زیر اعلام نمایند:
  • ایمیل bug@amnpardaz.com جهت اعلام موارد و باگ‌های امنیتی
  • ایمیل virus@amnpardaz.com - ارتباط مستقیم با آزمایشگاه بدافزار، جهت ارسال نمونه‌های جدید بدافزار یا درخواست بررسی تشخیص
  • ایمیل support@amnpardaz.com - ارتباط با پشتیبانی پادویش، جهت اعلام هرگونه ایرادات غیر امنیتی در تمامی محصولات پادویش یا سامانه‌های پشت‌صحنه (وب‌سایت، سرورها و ...)
  لازم به ذکر است که این موارد شامل این برنامه نخواهند بود.